安全第二次

1. 防火墙如何处理双通道协议

对于多通道协议比如FTP、VOIP等协议，通道是随机协商出的，防火墙不能设置策略也无法形成会话表（按照目前所学）。

【多通道协议无法用安全策略表去解决，如果强行解决会导致安全策略的颗粒度过大，防火墙防御失效。】

解决办法：使用ASPF技术，查看协商端口号并动态建立server-map表放过协商通道的数据。

• ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤。

• ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略。

2. 防火墙如何处理nat？

在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生成传输进程返回的nat映射。

【困境：某些协议会在应用层携带通信ip，这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是转三层ip，这就导致某些协议的通信阶段在nat场景下失败。】

ALG（Application Level Gateway 应用网关），用来处理上述应用层数据在NAT场景转换问题。

ALG 在nat会抓包，生成一个返回的映射，重新算校验

3. 防火墙支持那些NAT技术，主要应用场景是什么？

• 1、源NAT
  适用场景： 源NAT是指对报文中的源地址进行转换，通过源NAT技术将私网IP地址转换成公网IP地址，使私网用户可以利用公网地址访问Internet。

• 2、server NAT
  适用场景：主要应用于实现私网服务器以公网IP地址对外提供服务的场景。

• 3、域内双向NAT
  适用场景：想让内网用户通过外网地址访问DMZ区的服务器，且想经过出口墙检查来增加安全性。

• 4、域间双向NAT
  适用场景：一般是解决内网服务器没有外网路由的问题 。工业现场一些设备不允改动，例如网络设备不能修改路由、工业摄像机无法修改网关、工业PLC无法配置网关。

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

• 问题：当内网PC通过公网域名解析访问内网服务器时，会存在NAT转换的问题，导致无法正常访问内网服务器。具体来说，由于内网服务器的私网IP地址无法在公网上被访问，内网PC通过公网域名解析后得到的IP地址实际上是防火墙或路由器的公网IP地址，而不是内网服务器的私网IP地址。当内网PC通过这个公网IP地址访问内网服务器时，请求数据包会被防火墙或路由器进行NAT转换，但由于配置不正确或者未开启相应端口转发功能等原因，请求数据包可能无法正确转发到内网服务器，从而导致无法正常访问。

• 解决办法：进行NAT域内双向转换

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

• 会遇到的问题：
  1、防火墙必须能够检测到链路或设备故障。
  2、防火墙检测到故障后能够实现流量的平滑切换。
  

• 解决办法：
  
  

6. 防火墙支持那些接口模式，一般使用在那些场景？

• 1、路由模式

  适用于 防火墙的接口三层路由接口的形式参与组网

• 2、交换模式

  适用于 防火墙的接口二层交换接口的形式参与组网

• 3、接口对模式

  是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的MAC寻址，也就类似网线的形式转发，速度快。

• 4、旁路模式

  旁路模式的接口也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务，功能是最少的。

7. 什么是IDS？

IDS（入侵检测系统），依照一定的安全策略，对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密性、可用性）。是一个软件与硬件的组合系统。

8. IDS和防火墙有什么不同？

• 防火墙是针对黑客攻击的一种被动的防御旨在保护，IDS 则是主动出击寻找潜在的攻击者发现入侵行为；

• 防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障，IDS 是对攻击作出反击的技术；

• 防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS 则进行实时的检测，是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵，并且发现入侵行为即可做出反应，弥补了防火墙对应用层检查的缺失。

• 防火墙可以允许内部的一些主机被外部访问，IDS 则没有这些功能，只是监视和分析用户和系统活动。

9. IDS工作原理？

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功的入侵
• 为对抗入侵提供信息与依据，防止时态扩大

10. IDS的主要检测方法有哪些详细说明？

• 1、误用检测：

  收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系
  统就认为这种行为是入侵，误用检测模型也称为特征检测

• 2、异常检测：

  当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

11. IDS的部署方式有哪些？

• 1、直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点。

• 2、单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS。

• 3、旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御。

12. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

• 1、IDS的签名的意思

  签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。

• 2、签名过滤器的作用

  签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用
  于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于
  筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过
  滤器中为这些签名统一设置新的动作，操作非常便捷。

  签名过滤器的动作分为：

  • 阻断：丢弃命中签名的报文，并记录日志。
  • 告警：对命中签名的报文放行，但记录日志。
  • 采用签名的缺省动作，实际动作以签名的缺省动作为准。

  签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

• 3、例外签名配置的作用

  由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些
  签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

  例外签名的动作分为：

  • 阻断：丢弃命中签名的报文并记录日志。
  • 告警：对命中签名的报文放行，但记录日志。
  • 放行：对命中签名的报文放行，且不记录日志。添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单。